Gennaio 2016 non sarà di certo ricordato per la storica nuova intesa su Safe Harbor 2.0 tra Stati Uniti e Unione Europea. Alla fine dello scorso anno era stata fissata una dead-line per la giornata del 28 gennaio, proprio in concomitanza con l’ EU Data Protection Day, giornata europea della protezione dei dati personali. Non si trattava di una semplice coincidenza, questa data è stata fortemente voluta dalla UE, proprio per dare maggiore rilevanza al nuovo accordo e poter comunicare l’avvenuta sottoscrizione di Safe Harbor 2.0 proprio durante tale evento europeo, dimostrando nuovamente l’impegno dell’Unione nella tutela e riservatezza della privacy nei confronti dei propri cittadini.
Ma la tanto attesa notizia in realtà non è mai arrivata, si è potuto solo apprendere che tale incontro è stato rimandato ad inizio febbraio.
I fatti
L’accordo Safe Harbor USA-EU ha permesso fino ad oggi ad oltre 4.000 aziende di trasferire dati personali di cittadini dell’Unione verso gli Stati Uniti a condizione che tali imprese garantissero gli stessi standard di sicurezza e privacy previsti dal Diritto UE in materia. Ad ottobre dello scorso anno, l’Alta Corte di Giustizia Europea ha invalidato la decisione della Commissione UE di considerare tali accordi sicuri, avendo prevaricato le singole Autorità Garanti Privacy nazionali, e demanda a loro tale valutazione. Le diverse Autorità, compresa la nostra, invalidano a loro volta tale accordo non potendolo considerare sicuro a causa dei programmi di intercettazione e sorveglianza di massa attuati dal Governo USA in ragione della propria sicurezza nazionale e salvaguardia dell’interesse pubblico.
Le pressioni sulla UE affinché si possa raggiungere un nuovo accordo il prima possibile sono notevoli: Associazioni a difesa della Privacy, gruppi di imprese e le stesse Autorità Garanti chiedono a gran voce che venga trovata rapidamente un’intesa. Anche Soro, nostro Presidente dell’Autorità Garante Privacy nazionale, proprio in questi giorni invita in maniera chiara Renzi, nostro capo del governo, affinché eserciti pressioni in tal senso sull’Europa.
Ma nonostante queste pressioni e la forte volontà dell’Unione Europea, il nuovo accordo sembra ben lontano, anche se la prossima data è stata fissata per il 2 febbraio. Il problema di fondo rimane la volontà o meno degli USA di contenere tali azioni di sorveglianza e di modificare l’attuale impianto normativo che legittima tali controlli indiscriminati.
La UE considera tale trasferimento dei dati una sorta di privilegio per le imprese statunitensi e per tale ragione si aspetta che gli USA ricambino andando incontro a quelle che sono le sue richieste. Ma soprattutto dopo i tragici accadimenti terroristici di Parigi, quali Governi saranno davvero disposti per proprie ragioni di sicurezza nazionale e prevenzione al terrorismo a rinunciare a tali azioni di sorveglianza di massa? Una maggiore tutela della privacy e il rispetto della relativa normativa UE comporterebbe di fatto l’accettazione da parte del Governo USA di controlli più severi sulle proprie forze dell’ordine e servizi di sicurezza nel limitare i loro accessi a tali dati personali solo in casi di estrema necessità.
A tal proposito, anche in Europa il dibattito nei confronti del Governo UK è sempre più acceso. A fine 2015 è stata annunciata una nuova proposta di legge che se approvata obbligherebbe gli Internet Service Provider britannici a registrare per ben un anno tutti i dati di navigazione dei propri utenti e autorizzerebbe le forze dell’ordine a violare i device dei propri cittadini, ovviamente tutto in forza della sicurezza nazionale del proprio paese.
Ma gli USA ed altri governi saranno davvero così disponibili?
Cosa sta accadendo nel frattempo
A metà di questo mese, la stessa Microsoft dichiara che il nuovo accordo è “troppo importante e che i negoziati non possono fallire”. Nei mesi scorsi Microsoft e Drobox per “risolvere” tale problema si sono attivate per l’apertura di nuovi data center in Europa, ma ovviamente non tutte le imprese hanno le stesse possibilità e/o possono percorrere tale strada. Attualmente le imprese non hanno altra soluzione che ricorrere a soli strumenti di tipo giuridico: le Clausole Contrattuali Standard e le BCR (Binding Corporate Rules).
Sono diversi i casi di multinazionali USA che si sono attivate nella predisposizione di proprie BCR. First Data, BMC e Align Technologies sono state tra le prime. Normalmente si sarebbero resi necessari 18 mesi circa, ma quando il fattore urgenza è determinante come in questo scenario, sono stati sufficienti solo 6 mesi.
Il lavoro è stato serrato ed è stato portato a conclusione da team di grandi esperti. Denominatore comune di tali processi è stata una forte tutela di garanzia e riservatezza dei dati personali. Ovviamente qualche malumore sta sorgendo compresi i dubbi sulla brevità di tali processi. Ma almeno qualcosa è stato fatto.
Anche LinkedIn, il più famoso social b2b al mondo, si è attivato, iniziando da metà di questo mese ad informare i propri utenti che proprio a seguito dell’invalidazione degli accordi Safe Harbor, ha iniziato un processo di adeguamento alla normativa privacy UE andando a sottoporre a tutti i suoi utenti la sottoscrizione proprio delle c.d. Standard Contractual Clauses (Clausole Contrattuali Standard).
Ovviamente si tratta di una conformità alle norme in materia di protezione dei dati personali solo di tipo formale, poiché, visto l’attuale immutato impianto normativo USA in materia di sicurezza nazionale, non potranno garantire di fatto nessuna adeguata tutela di protezione dei dati personali nel rispetto del Diritto Privacy UE. Essendo questa una certezza, molte imprese al momento stanno temporeggiando nella speranza che tale accordo sopraggiunga da un momento all’altro. Forse però è il caso di agire, poiché per questo nuovo anno sembrerebbero, visto il tema scottante, molto probabili attività di controllo da parte dei Regolatori e che in questi casi potrebbero anche portare a delle sanzioni.
Cosa accadrà a breve
I negoziatori si sono incontrati anche settimana scorsa a Davos durante il World Economic Forum e il prossimo incontro è stato fissato per martedì 2 febbraio a Bruxelles. La Privacy è un diritto fondamentale nella UE e gli USA non possono solo riconoscerlo “a parole”, cioè tramite un semplice accordo, ma devono farlo anche tramite fatti concreti.
Ma le resistenze sembrerebbero tutte imputabili agli USA, ma ne siamo sicuri? I dati personali sono ormai centrali e indispensabili per l’economia di Internet. Oltre a Microsoft e Dropbox anche Apple ha recentemente inaugurato un nuovo centro di competenze in Italia, e se tale accordo non dovesse mai arrivare, quante altre grandi imprese americane decideranno di intraprendere tale strada per poter garantirsi la possibilità di continuare a trattare dati personali UE? Quasi un messaggio tacito di invito alle multinazionali USA di seguire l’esempio di Microsoft, Dropbox e Apple: “I nostri dati valgono milioni e milioni di dollari, volete guadagnarci? Venite in Europa!”
Di fatto si parla ormai di un Safe Harbor 2.0, ma in realtà l’accordo dovrà essere necessariamente più garantista di quello recentemente invalidato e come sappiamo le implicazioni sono diverse, poiché avrà un impatto di fatto su altre norme quali la sicurezza nazione e la lotta al terrorismo. Anche in sede UE si parla impropriamente di un nuovo Safe Harbor in versione 2.0, ma tra i negoziatori sembrerebbe radicarsi sempre di più l’intenzione di trovare oltre ad un vero e proprio nuovo accordo, anche un nuovo nome proprio per evidenziare che si tratterà di una novità che avrà poco a fare con l’accordo precedente e recentemente decaduto.
Safe Harbor 2.0: nell’attesa della sua venuta, forse avremo anche tutto il tempo necessario per pensare al suo nuovo nome!
Si accettano proposte, avete qualche idea?
Facebook Comments